Mik azok a jelszószabályok, és hogyan lehet ezeket biztonságosan betartani?

Nagyon sok irányelv és jó gyakorlat segíthet jobb jelszó létrehozásában. A Carnegie Mellon Egyetem kutatócsoportja, Lorrie Cranor professzor vezetésével azonban kihívást jelent és újradefiniálja őket.

Cranor asszony csapata kifejlesztett egy jelszóbiztonsági mérőt, hasonlóan ahhoz, amelyet manapság számos webhely használ. Cranor azonban azt állítja, hogy ezeknek a jelenlegi megvalósításoknak vannak érvényben szabályai, de nem érvényesítik őket értelmesen. Előírás lehet például a jelszó hossza, valamint a betűk, számok és szimbólumok keveréke. Azonban egy olyan jelszó, mint a '$ chrys4nth3mum $', bejelölheti az összes szükséges négyzetet egy aktuális jelszó-ellenőrzőn, és még mindig elég gyenge.

Mit csinál a mérő?

A Cranor mérője olyan javaslatokkal ellátott algoritmussal van felszerelve, amely alternatívákat kínál a jelszavakhoz, miközben a felhasználók beírják azokat, és megpróbálja megtanítani őket, és segítenek megérteni, hogy miért nem jó egy „1” betű kitöltése a jelszóként használt rendes szó végén ötlet. Hasonlóképpen, a nagybetűk és a kis- és nagybetűk keverése ugyanabban a karaktersorozatban nem csak a jelszóban használt szó első betűjének nagybetűs írása.

Az egyetem biztonsági laboratóriuma Cranor felügyelete alatt számos résztvevőt tesztelt, akik saját biztonsági jelszavakat készítettek a biztonsági mérő javaslatai alapján. A felhasználók egyetlen fix szabályt kaptak - legalább 10 karakter hosszú jelszó létrehozására. Ettől kezdve a mérő algoritmusa dinamikus javaslatokat kezdett kínálni a beírt jelszavak dinamikus javítása érdekében.

Mit lehet tanulni a mérőórából?

Míg a Cranor csapata által kifejlesztett mérőórát egyelőre még egyetlen élő szolgáltatásban sem alkalmazták, rengeteg rendszeres felhasználó tanulhat belőle. Fontos megjegyezni, hogy bármilyen szokásos szótári szó használata jelszavaként, és egyszerűen betű és egy szimbólum kitöltése a karakterlánc mögé nem jó ötlet.

A jelszóval történő erőszakos kényszerítés nagymértékben támaszkodik az előre beállított szótárakra, és a jelenlegi számítási teljesítmény lehetővé teszi, hogy egy nyers erő eszköz másodpercenként abszurd módon nagy mennyiségű nyers erővel próbálkozzon.

Ezenkívül fontos, hogy a szimbólumokat és a számokat a jelszó karaktersorozat közé helyezzük, és ne csak a karaktersorozat egyik végébe csoportosítsuk őket.

November 17, 2020

Válaszolj